CONTROLLER-STATEMENTS Instrumente Prozessorientiertes Risikomanagement Internationaler Controller Verein eV Geschäftsstelle Postfach 11 68, D - 82116 Gauting Leutstettener Str. 2, D - 82131 Gauting Telefon +49-89-89 3134-20 Telefax +49-89-89 3134-31 www.controllerverein.com [email protected] Internationaler Controller Verein Internationaler Controller Verein Impressum Inhalt Herausgeber Vorwort 4 1. 1.1. 1.2. Hintergrund und Einordnung (Begriffe) Entwicklung Begriffe und Definitionen 6 6 6 2. 2.1. 2.2. Relevante Anforderungen und Einordnung in die Unternehmenssteuerung Allgemeine Anforderungen Gesetzliche und formelle Anforderungen 3. 3.1. 3.2. 3.3. 3.4. Systembestandteile eines Risikomanagementsystems Grundlegende Bestandteile eines RMS Risikomanagementprozess Allgemeine Steuerungsinformationen zum Prozess Risikomanagement Risikocontrolling und Aufgaben des Controlling Alfred Biel Beethovenstraße 275, D-42655 Solingen [email protected] 4. Empfehlungen und Einführung 42 In Verbindung mit 5. Trends und zukünftige Entwicklungen 43 RA Conrad Günther, Gauting, Geschäftsführer, Internationaler Controller Verein eV Abbildungsverzeichnis 45 Internationaler Controller Verein eV Leutstettener Straße 2 D-82116 Gauting Tel. +49-(0)89-89 31 34-20 Fax +49-(0)89-89 31 34-31 www.controllerverein.com Redaktion Autoren dieses Statements: Thilo Knuppertz, Geschäftsführer Unternehmens- und Strategieberatung „Der Zukunftsweg“, Mitgründer und Geschäftsführer Kompetenzzentrum für Geschäftsprozessmanagement GbR, 53343 Wachtberg [email protected] Frank Ahlrichs, Unternehmensberatung FA Consulting, 42857 Remscheid [email protected] Verantwortlicher Redakteur Leiter des Redaktionsausschusses und Ansprechpartner Siegfried Gänßlen, Stellv. Vorsitzender, Internationaler Controller Verein eV Herstellung Satz und grafische Ausführung Negenborn-Kommunikation, 73760 Ostfildern [email protected] Druck und Verarbeitung Reichert GmbH Druck + Kommunikation, 70806 Kornwestheim 11 11 15 19 19 22 38 40 Vorwort Die Herkunft des Wortes „Risiko“ ist nicht eindeutig geklärt. Man vermutet, dass dieser Ausdruck ursprünglich mit der Seefahrt zu tun hatte. Im Italienischen und Spanischen gibt es das Wort „risco“ für Klippe. Wahrscheinlich ist aus der konkreten Klippe, die zu umschiffen war, eine Klippe im übertragenen Sinne geworden, also eine Gefahr im modernen Geschäftsleben. Der Begriff „Risiko“ wird jedenfalls seit dem 14. Jahrhundert in der Handelsschifffahrt der italienischen Seestädte verwendet, und zwar im Zusammenhang mit Versicherungen. Dabei wurde ein Risiko ausgedrückt als Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe. Wie wir sehen, hat das Risikomanagement eine lange Tradition – und es hat sich grundsätzlich auch nicht viel geändert. Die modernen Klippen, um im Bilde zu bleiben, sind z.B. Finanzrisiken, Marktrisiken oder technologische Risiken. Controller verstehen sich gerne als Lotse oder Navigator, die als Steuermann dem Kapitän helfen, das Schiff in den „Gewinnhafen“ zu steuern. Zu den Instrumenten, die sie hierzu einsetzen, zählt nicht zuletzt auch das Risikomanagement. Nach Horváth verstehen wir unter Risikomanagement „das Steuern und Regeln der bereits bestehenden und künftig entstehenden Risiken eines Unternehmens, sodass der Wert eines Unternehmens durch die Verringerung der Risiken bei gleichen Ertragschancen gesteigert wird. Risikomanagement ist somit das Gegenstück zu Ertragsmanagement. Diese beiden Teile sind auch die wesentlichen Bestandteile einer wertorientierten Unternehmensführung“. Risikomanagement ist sowohl eine Philosophie des kontrollierten Umgangs mit Verlustgefahren als auch eine bestimmte Technik und Methodik der konkreten Umsetzung. Dies bedeutet auch, dass es unterschiedliche Konzepte geben kann, Risikomanagement in den Unternehmen zu praktizieren, die in Abhängigkeit von den jeweiligen Konstellationen zum Erfolg führen können. Die Thematik des Risikomanagements nimmt auf der Agenda des Internationalen Controller Vereins eV (ICV) einen vorderen Platz ein. Zahlreiche Mitglieder befassen sich mit diesem Thema. Der ICV unterstützt in einem offenen und breiten Verständnis die Suche nach praxistauglichen Lösungen. Somit kommt es wiederholt dazu, dass Mitglieder unterschiedliche Lösungswege gehen und damit auch verschiedenartige Ansätze in die Diskussion einbringen. Hermann Jenny, Vorstandsmitglied des ICV und ausgewiesener Experte des Risikomanagements in der Schweiz, hat gemeinsam mit Carin Münzel 2005 im Schulthess Verlag, Zürich, eine Wegleitung zur Einführung und zum Unterhalt eines Riskmanagementsystems mit dem Titel „Riskmanagement für kleine und mittlere Unternehmen“ vorgelegt, die in der Fachwelt eine gute Aufnahme fand. Mit dem vorliegenden Statement legen die ICV-Mitglieder und Unternehmensberater Thilo Knuppertz und Frank Ahlrichs einen Ansatz des Risikomanagements vor, der sich aus ihrer Beratungstätigkeit im Bereich Geschäftsprozessmanagement entwickelt hat. Dieser Beitrag weist vielfältige Schnittmengen zum Konzept von Hermann Jenny auf, setzt aber unter dem Aspekt der Prozessorientierung auch eigene Akzente. Beide Veröffentlichungen – die von Münzel/Jenny sowie von Ahlrichs/ Knupperts – ergänzen sich und sind Ausdruck der Vielfalt und Kompetenz der Facharbeit der ICV-Mitglieder sowie einer bemerkenswerten Diskussionskultur, wie sie im Internationalen Controller Verein eV gepflegt wird. Natürlich sind damit nicht alle relevanten Veröffentlichungen zum Risikomanagement innerhalb und außerhalb des Internationalen Controller Vereins erwähnt. Alfred Biel Leiter des Redaktionsausschusses 1. Hintergrund und Einordnung (Begriffe) 1.1.Entwicklung Risiken und das Managen von Risiken sind in den letzten Jahren zunehmend zum Schlagwort im Zusammenhang mit der erfolgreichen Steuerung von Unternehmen geworden. Ausgelöst durch die unerwartete Insolvenz zahlreicher namhafter Unternehmen oder durch betrügerische Aktivitäten von Führungskräften wurde der als implizit unterstellte Fortbestand von Unternehmen nachhaltig in Frage gestellt. Die Insolvenzgefährdung hat insgesamt spürbar zugenommen. Damit besteht die berechtigte Frage, was zu tun ist, um die Zukunftsfähigkeit deutlich zu verbessern. Jedes Unternehmen hat sich dieser Herausforderung individuell zu stellen. In vielen Unternehmen wird Risikomanagement bereits angewendet. Oftmals stellt man jedoch fest, dass die Wirkungsweise der bestehenden Risikomanagementsysteme (RMS) nicht sehr effektiv ist. Ziel dieses Statements ist es daher, den vorhandenen, sehr prüfungsund kontrollorientierten Ansatz zu erweitern. Dabei wird insbesondere die Prozessorientierung und Controllingperspektive in das RMS integriert, um die Fähigkeit zur risikoorientierten Unternehmenssteuerung zu erhöhen. Gerne möchten wir dazu einen aktiven Dialog mit Ihnen als fachliche Leser dieses Statements führen und begrüßen konstruktive Ergänzungen dazu jederzeit (Kontaktadressen finden sich im Impressum). 1.2.Begriffe und Definitionen Zu einem klaren Verständnis legen wir die wesentlichen Begriffe eindeutig fest. 1 Risiko: „Als Risiko wird im unternehmerischen Sinne die Kombination von Eintrittswahrscheinlichkeit und Größe der daraus entstehenden Konsequenzen verstanden“ 1 in Bezug auf die Abweichung von einem geplanten, meist finanziellen Ziel. International Group of Controlling (Hrsg.): Controller Wörterbuch, 3. Aufl., Stuttgart 2005, S. 224 Damit liegen diesem Verständnis nicht nur Ereignisse mit unmittelbaren negativen finanziellen Auswirkungen zugrunde. Auch ein verpasster Gewinn kann zu einer Bedrohung von Unternehmen werden. Insbesondere dann, wenn zum Beispiel vorhandene Fremdkapitalmittel aufgrund des Gewinnausbleibens nicht mehr verlängert werden oder Eigenkapitalgeber nicht mehr weiter zur Erzielung weiterer Gewinne investieren wollen. Abbildung 1: Risikobegriff und Verständnis Die Verwendung des Zielbegriffes anstelle einer gewinn- oder auch insolvenzorientierten Auffassung hat den Vorteil einer breiten Anwendungsmöglichkeit (z.B. öffentlich-rechtliche Unternehmen ohne direkten Gewinnanspruch). Die Eintrittswahrscheinlichkeit als weiterer Definitionsbestandteil stellt auf die Dringlichkeit der möglichen Zielabweichung ab. Alternativ zum oben vertretenden Verständnis hat der Deutsche Standardisierungsrat als Institution zur Festlegung von verbindlichen Regelungen zur Handhabung des Jahresabschlusses ein engeres Begriffsverständnis entwickelt. Im DRS 52 (Risikoreporting) wird Risiko als „… Möglichkeit von negativen künftigen Entwicklungen der wirtschaftlichen Lage des Konzerns“ definiert. Die Möglichkeit positiver Abweichungen wird als Chance definiert. 2 Deutscher Rechnungslegungsstandard, gültig seit 2001 Risikomanagement: Risikomanagement befasst sich mit der Identifikation und Bewertung von Risiken, mit der Festlegung der einzugehenden Risiken und ihrer Begrenzung durch Absicherungsverfahren. Ausgangspunkt für diese Handlungen ist eine Risikopolitik, die vom Top-Management zu erarbeiten und in der Folge auf allen Führungsstufen umzusetzen ist. Dazu gehört die Identifikation von Risiken, die Ermittlung von Art und Höhe von negativen Auswirkungen auf die geplante Zielerreichung sowie die Durchführung und Erfolgskontrolle von Aktivitäten zur Verringerung möglicher negativer Auswirkungen. Risikomanagementsystem: Zusammenfassung aller Risikoaktivitäten in einem Risikomanagementprozess und dessen ganzheitliche Integration in die Unternehmenssteuerung und das Prozessmodell. Dies beinhaltet den Aufbau eines wirksamen Steuerungssystems. Damit sind systematisch sowohl alle formellen Kriterien für als auch die funktionalen Anforderungen an ein Steuerungssystem abzubilden. Formelle Kriterien bestehen zum Beispiel in der Erfüllung gesetzlicher Rahmenbedingungen als auch der Anforderungen der Kapitalgeber. Funktionale Anforderungen werden in einem geschlossenen Steuerungskreislauf bis hin zur permanenten systematischen Verbesserung der Steuerung von Einzelrisiken sowie des Steuerungssystems selbst abgebildet. Zur Feststellung wesentlicher Risiken (auch Schlüsselrisiken genannt) und deren Konzentration ist eine Gliederung zu empfehlen. Als wesentlicher Begriff dafür hat sich in der Praxis „Risikokategorie“ und teilweise auch „Risikofelder“ etabliert. Im Verständnis des DRS 5 fassen Risikokategorien gleichartige, organisatorisch oder funktional zusammengehörige Risiken zusammen. Alternative oder ähnliche begriffliche Einordnungen werden auch im DRS 5 sowie durch ein internationales Framework, COSO II, verwendet:3 • DRS 5: „… ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation von Risiken sowie die Überwachung dieser Aktivitäten.“ • COSO II: „… ein Prozess, ausgelöst durch Vorstand und Aufsichtsrat, das Management oder andere Mitarbeiter des Unternehmens, angewandt bei der unternehmensweiten Strategiefestlegung, unter Beachtung des IKS (Internes Kontrollsystem), zum Zweck der Identifizierung und Bewältigung potenzieller Ereignisse, die das Unternehmen beeinträchtigen können, sowie als Mittel, um die Unternehmensziele mit angemessener Sicherheit zu erreichen.“ Früherkennung: Frühwarnsignale sind Informationen, die hinsichtlich ihrer Herkunft und Auswirkung nicht genau klassifizierbar sind. In der Regel handelt es sich um höchst unbestimmte und unsichere Vermutungen über zukünftige Umfeldveränderungen.4 3 Coso: Committee of the Sponsoring Organizations of the Thread way Commission, Initiative privater amerikanischer Wirtschaftsinstitute 4 International Group of Controlling (Hrsg.): Controller Wörterbuch, 3. Aufl., Stuttgart 2005, S. 118 2. Relevante Anforderungen und Einordnung in die Unternehmenssteuerung Da Risiken immer den zukünftigen Aspekt eines potenziellen Schadens ansprechen, ist mit dem Management von Risiken immer auch die Notwendigkeit gegeben, in Zukunftsszenarien mögliche Entwicklungen durchzudenken. Dabei gilt im Allgemeinen die Aussage: Je früher mögliche Risiken erkannt und mit Aktivitäten begleitet werden können, desto geringer ist in der Regel auch der zu erwartende Schaden beim tatsächlichen Eintritt eines Risikos. Damit ist ein wesentlicher Bestandteil eines Risikomanagementsystems, Prozesse im Unternehmen zu bestimmen, die eine systematische Früherkennung von Risiken ermöglichen. Insgesamt lassen sich folgende wesentliche, mit dem Risikomanagementsystem verbundene grundsätzlichen Merkmale und Zielsetzungen formulieren: Beim genannten Verständnis von Risikomanagement kommt es darauf an, einen erfolgreichen Ansatz für die Integration in die Unternehmenssteuerung zu finden. Dabei sind allgemeine wie auch formelle Anforderungen zu berücksichtigen. 2.1.Allgemeine Anforderungen Allgemeine Anforderungen bestehen in der ganzheitlichen Ausrichtung eines Risikomanagementsystems und der praktisch wirksamen Integration in die bereits verfügbaren Steuerungssysteme. Signifikante Bestandteile eines ganzheitlichen Konzeptes sind die Integration in die Unternehmensziele und -strategie, der erstmalige Aufbau eines durchgängigen Risikomanagementprozesses und die kontinuierliche Verbesserung als Integration in bestehende Steuerungssysteme. Dem Controlling kommt hinsichtlich Methoden- und Inhaltskonsistenz eine zentrale Aufgabe zu. Folgende Systeme sind mindestens Gegenstand einer nachhaltigen Integration: Abbildung 2: Zielsetzungen RMS • Strategische Planung und Unternehmensplanung Einsatz von Methoden der strategischen Planung wie Szenarioanalysen, SWOT-Analysen oder Kompetenz-Mapping zur langfristigen Ausrichtung. Ergebnis: gezielte Informationen zur Früherkennung von Risiken und Potenzialen. • Strategische Ziele umsetzen Balanced Scorecard (BSC) als präferierte Methode zur zielorientierten Steuerung. Sowohl Chancenwahrnehmung als auch die Beseitigung von unternehmerischen Schwachstellen sind inhaltliche Bestandteile. Steuerungsfelder der BSC sollten mit Risikokategorien der BSC zusammengeführt werden. Ergebnis: Chancen und Risiken sind priorisiert und einheitlich fokussiert.5 5 10 Eine Übersicht zur Integration von BSC und RMS ist in Abbildung 3 dargestellt 11 12 • Effiziente Umsetzung im operativen Geschäft Eingesetzte Methoden sind Geschäftsprozessmanagement, Qualitätsmanagement sowie das Interne Kontrollsystem (IKS). Alle Prozesse des Unternehmens beinhalten eine Teilaufgabe Risikomanagement. Nur in Prozessen können Risiken der strategischen Umsetzung gezielt identifiziert, bewertet und auch gesteuert werden. Qualitätsmanagementsysteme (QM-Systeme) stellen im Kern einen methodischen Bestandteil des Geschäftsprozessmanagements dar, da Qualität ausschließlich in Prozessleistungen beurteilt werden kann. IKS tendieren oftmals dazu, die im RMS durchgeführten Prozesse der Risikoidentifizierung, -bewertung und -steuerung redundant durchzuführen und damit bei knappen Führungsressourcen negative Effekte zum RMS hervorzurufen. Zur Integration wird eine Konzentration des IKS auf Wirksamkeits- und Durchführungskontrollen von Risikoaktivitäten vorgeschlagen. • Controlling Aufgabe der Informations- und Transparenzgestaltung. Die methodische Ausgestaltung des RMS als auch die konkrete Umsetzung im RM-Prozess sollten inhaltlich begleitet werden. In vielen Unternehmen wird das RMS dem Controlling-Bereich organisatorisch zugeordnet, da eine Aufgabenüberlappung redundante Vorgänge wie z.B. das Erstellen von Reports bedeuten kann. Inhaltlich ist besonders die Integration von in der Planung berück- sichtigten Abweichungsrisiken von Zielwerten vorzunehmen. Ein Risiko ist nur dann gegeben, wenn ein zusätzlicher negativer Ergebniseffekt auf die geplanten Ziele eintreten könnte! • Finanzwerte sicherstellen Formelle Ziele der Wertorientierung oder Verbesserungen von Eigenkapital oder Cashflow sind Bezugspunkte für die Eigenkapitalgeber-Interessen. Beim Aufbau von Werttreibermodellen werden u.a. auch Risikotreiber ermittelt, die die geplante Wertentwicklung gefährden könnten. Am deutlichsten wird die Verbindung bei der Berechnung von Unternehmenswerten nach dem Discounted Cashflow-Verfahren (DCF-Verfahren). Als wesentlicher Bestandteil wird der Risikofaktor zur Ermittlung des Gesamtkapitalzinses berechnet. Ein hoher Risikofaktor erhöht somit die Kapitalkosten und spiegelt dadurch die vorhandene Risikosituation des Unternehmens wider. Das Eigenkapital stellt aus Risikosicht die verfügbare Bestandsmasse zur Abfederung von Risiken dar. Risiken, die wesentliche Anteile des vorhandenen Eigenkapitals betreffen (z.B. rückwirkende, ungeplante Steuernachzahlungen) können zur Bestandsgefährdung führen. Risikoanalyse Risikomanagementsystem steuern Chancen- und Risikokennzahlen Abbildung 3: Balanced Scorecard und Risikomanagement Eine grundsätzliche Integrationsanforderung des RMS besteht zum Internen Kontrollsystem (IKS). Im allgemeinen Verständnis wird das IKS als ein System mit „Regelungen zur organisatorischen Umsetzung von Entscheidungen der Unternehmensleitung“ (Prüfungsstandard 260 des IDW, 2001) verstanden. Wesentliche Ziele schließen die Sicherung der Wirtschaftlichkeit und Wirksamkeit der Geschäftstätigkeit, die Sicherstellung der Verlässlichkeit und Ordnungsmäßigkeit der Rechnungslegung sowie die Einhaltung der zu beachtenden Rechtsvorschriften ein. 13 Im Einordnungsverständnis des IKS wird das RMS als Teilsystem des Internen Kontrollsystems mit dem Schwerpunkt als System zur Risikofrüherkennung gesehen (Sicht von Wirtschaftsprüfern). Diese Auffassung steht nicht im Einklang mit der Notwendigkeit, den strategischen Charakter eines zukunftsorientierten RMS für den zukünftigen Unternehmenserfolg zu bewerkstelligen. Dies spricht für eine klare Trennung beider Methoden hinsichtlich der Zielsetzung und in großen Teilen auch bei den Prozessschritten der Umsetzung. 2.2. Gesetzliche und formelle Anforderungen Als Framework für den Aufbau von wirksamen IKS und RMS hat sich seit 1992 der Coso-Würfel etabliert. Gegenstand sind Risikobeurteilungen für die Geschäftsführung, die Finanzberichterstattung und die Einhaltung von gesetzlichen Vorschriften. Als Weiterentwicklung dieses Rahmenwerkes wurde Coso II in 2003 konzipiert, der dem RMS eine noch höhere methodische Bedeutung zukommen lässt.6 Eckpunkte des KonTraG sind: Wesentlichen Einfluss auf die Bedeutung und auch die Notwendigkeit eines modernen RMS hat in Deutschland das Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG, 1998) erlangt. Auslöser waren zahlreiche plakative Insolvenzen in namhaften deutschen Unternehmen, die eine Stärkung des Anlegerschutzes, insbesondere bei börsennotierten Unternehmen, erforderlich machten. • • • • Einrichtung eines Überwachungssystems zur frühzeitigen Erkenntnis fortbestandsgefährdender Risiken (§ 91 II AktG sowie analog § 43 I, II GmbHG), Risikoberichterstattung im Lagebericht (§ 289 I HGB), Prüfpflicht der zutreffenden Darstellung der Risikosituation (§ 317 II HGB, Prüfpflicht). Die Durchführung erfolgt mit dem Prüfungsstandard PS 340. Betroffen sind primär Aktiengesellschaften. Für Unternehmen mit anderen Rechtsformen wird eine Ausstrahlungswirkung mit den Kriterien „Vergleichbare Größe, Strukturen oder Komplexität“ unterstellt. Dies bedeutet eine breite Anwendung der KonTraG- Anforderungen. Ergebnis ist damit für Aufbau und Durchführung von RMS ein klarer formaler Rahmen als Grundlage für Methodik und inhaltliche Ausgestaltung. Abbildung 4: COSO II - Enterprise Risk Management Framework Der Schwerpunkt auf die Einhaltung der formalen Anforderungen im Jahresabschluss hat dazu geführt, dass viele Unternehmen der eigentlich beabsichtigten zukunftsorientierten Risikosteuerung nur in Ansätzen gefolgt sind. Abarbeitung von Risikochecklisten und das erhaltene Testat der formellen Durchführung dienen oft nur als Ruhekissen. Dieses Resultat wird in zahlreichen Umfragen bestätigt (z.B. Ernst & Young Umfragen Status quo 2000 und 2005). 6 Dazu muss einschränkend angemerkt werden, dass die primäre Absicht darauf abzielt, Risiken im Zusammenhang mit der Erstellung des Jahresabschlusses und der Richtigkeit aller getroffenen finanziellen Aussagen zu begegnen. Von einer ganzheitlichen zukunftorientierten Risikosteuerung wird hier nicht ausgegangen. 14 15 Einfluss auf die Gestaltung von RMS in Unternehmen haben auch die neuen Eigenkapitalanforderungen für Kreditinstitute bei der Kreditvergabe (Basel II) erhalten. Wesentliche Aussagen sind: • • • Individuelle Risikobeurteilungen von einzelnen Kredit nehmenden Unternehmen werden durch Kreditinstitute erstellt. Die Beurteilung von Kreditrisiken erfolgt durch externe oder interne Ratings (Ratingagenturen oder ein von der BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht – geprüftes Verfahren). Bei Ratingerstellung ist das bestehende RMS ein wesentlicher Teil der qualitativen Faktoren und somit von hoher Bedeutung für ein Ratingergebnis. Für Unternehmen ist die Ratingerhebung durch den Fremdkapitalgeber beim RMS somit kein Zusatzaufwand (Beispiel: Kundenstrukturrisiken). Eine hohe Effektivität und Effizienz des RMS ist ein hoch bewerteter qualitativer Ratingfaktor. Das RMS kann dann in letzter Konsequenz ein zentraler Faktor zur Sicherstellung der zukünftigen Kapitalversorgung werden und im Optimalfall sogar die tatsächlichen Kapitalkosten signifikant senken. Erste Fälle in der Praxis bestätigen die Richtigkeit dieses Ansatzes. Die inhaltliche Ausrichtung des Risikoreporting im Jahresabschluss wurde 2002 durch den DRS 5 als Standard verbindlich vorgegeben. Dies stellt einen Meilenstein zur Durchsetzung des KonTraG in Unternehmen dar. 16 Der seit 2002 in den USA verabschiedete Sarbanes Oxley Act (SOA) hat gleichfalls Auswirkungen auf die Ausgestaltung von RMS. Kernaussagen sind: • Gültigkeit An US-Börsen gelistete Unternehmen sowie Tochtergesell schaften von Unternehmen, deren Anteile gehandelt werden. • Zielsetzung Sicherstellung verlässlicher Kapitalmarktinformationen zur Wiederherstellung des Anlegervertrauens durch funktionsfähige IKS bei der Finanzberichterstattung. • Relevante Meldungen Diese müssen gemäß Section 302 korrekt erfasst, verarbeitet, gesammelt und fristgerecht veröffentlicht werden. • Wirksamkeit IKS Prüfung gemäß Section 404 des IKS für die Finanzberichterstattung (z.B. Anwendung der relevanten Rechnungslegungs- vorschriften). Die Nichterfüllung dieser Vorschriften stellt insbesondere für die Unternehmensführung ein hohes Risiko dar (hohes Strafmaß). Methodische und inhaltliche Zusammenhänge zwischen RMS und SOA bestehen insbesondere bei prozessspezifischen Kontrollen: • • • • Formulierung von Kontrollzielen für Prozesse, Aufnahme von Prozessrisiken, durchgeführte Kontrollen, Beurteilung von Risikoeintritten und Wirksamkeit getroffener Risikoaktivitäten. 17 3. S ystembestandteile eines Risikomanagementsystems Neueren Ursprungs ist das Bilanzrechtsreformgesetz (BilReG) von 2005. Kerninhalte betreffen: • • • • Gültigkeit für alle Kapitalgesellschaften im Rahmen der Lageberichterstattung, Beschreibung, Beurteilung und Erläuterung der voraussichtlichen Entwicklung mit wesentlichen Chancen und Risiken (§§ 289, 315), Erläuterung von Risikomanagementzielen und -methoden sowie Konkretisierung von verwendeten Finanzinstrumenten, Kommentierung der Prüfung durch den Wirtschaftsprüfer im Bestätigungsvermerk. Hauptzielsetzung ist somit die Erhöhung der Informationsqualität zur Entscheidungsorientierung und damit der Verlässlichkeit für Anleger im Jahresabschluss. Ergebnis ist eine Verschärfung des öffentlichen Risikoreportings. Eine zukünftige Anpassung für den DRS 5 wird wahrscheinlich. Ein weiteres Gesetzespaket mit Auswirkungen auf das RMS ist das Bilanzkontrollgesetz (BilKoG, 2005). Zielsetzung ist die Erhöhung des Drucks auf Unternehmen und Abschlussprüfer hinsichtlich der Richtigkeit des externen Risikoreportings. Im Verdachtsfall kann das BaFin Prüfungen der Abschlussqualität durchführen. An die Funktionsfähigkeit und auch den beabsichtigten Nutzen von RMS sind hohe Anforderungen zu stellen. Die beiden Handlungsfelder für die Unternehmensleitung sind die Beschreibung der grundlegenden Bestandteile eines RMS und die Festlegung und Durchführung eines wirksamen RM-Prozesses. 3.1.Grundlegende Bestandteile eines RMS Alle Steuerungssysteme eines Unternehmens benötigen klare Orientierungsaussagen und Festlegungen durch die Unternehmensleitung. Diese sollten vor der Durchführung des RM-Prozesses7 erstellt sein. Innerhalb des RM-Prozesses sind viele dieser Aussagen Ergebnisse des ersten Teilprozesses. Insofern kann nach Erstformulierung eine permanente, gezielte Überarbeitung in Abhängigkeit von Änderungen des Geschäftsmodells oder der Unternehmensstrategie erfolgen. Grundlagen eines RMS sind: • Management- und Risikokategorien Im Rahmen des RMS wird eine ganzheitliche Sicht auf die Risikokategorien von Unternehmen gefordert. Damit kann aus Integrationssicht direkt ein Bezug zu den Managementfeldern hergestellt werden (Bsp.: Prozessperspektive der Balanced Scorecard mit Risikokategorie Prozesse). Dabei ist eine mindestens zweistufige Kategorieeinteilung anzuraten, da ansonsten die Zuordnung von Führungskräften zu handhabbaren Kategorien schwierig ist (Abb. 8). • Risikopolitik und -strategie Als integraler Bestandteil der Unternehmensstrategie werden Aussagen zum generellen Ausmaß von einzugehenden Risiken, die Zuordnung von Risikoaussagen zu angestrebten strategischen Zielen sowie die generelle Vorgehensweise zur Sicherstellung der Zielerreichung getroffen. 7 18 Vgl. Abbildung 3 19 Für die Fixierung des Ausmaßes von Risiken ist die Aufstellung einer Relevanztabelle mit Bezug auf eine finanzielle Kernkenn ziffer hilfreich. Dabei wird in der Regel von Unternehmen eine vier- bis fünfstufige Einteilung praktiziert. Geplanter Cashflow 2006: 1.500T€ Abbildung 5: Relevanzsystematik • 20 • Organisation des RMS Festlegung der einzubeziehenden rechtlichen und unternehmerischen Einheiten sowie deren Zuordnung zum RM-Prozess. Dabei gilt es insbesondere, die bestehenden rechtlichen Rahmenbedingungen zu beachten, jedoch auch die Zusammenfassung von Einheiten mit einheitlicher Risikosituation für den RM-Prozess. Für die Implementierung durch den RM-Prozess sollten klare organisatorische Zuordnungen des RMS erfolgen. Gängige Varianten der Verantwortung bestehen im Aufbau einer eigenständigen Stabsabteilung (Mitarbeiter) mit Berichtspflicht zu CEO/CFO, die Zuordnung zum Controlling-Bereich oder auch zur Internen Revision. • Risikokultur Mit der Risikokultur sind Faktoren wie die Risikobereitschaft, gelebtes Risikoverhalten sowie implizite Grundeinstellungen zu unternehmerischem und individuellem Risikodenken verbunden. Somit wird das Ausmaß der Risikobereitschaft und das risikobewusste Verhalten aller Mitarbeiter bei Entscheidungs- sowie Umsetzungs- aktivitäten beschrieben. Die Ausprägungen der Risikokultur schwanken zwischen den Extremen spekulativ bis risikoavers. Zukunftsfähigkeit des Geschäftsmodells Inhaltliche Aussagen des RMS werden konsolidiert, die die strategische Wahrnehmung vorhandener Potenziale betreffen. Als Methoden kommen hier in der Praxis oftmals „Kritische Erfolgsfaktoren“ oder Potenzialanalysen zum Einsatz. Aus Pers- pektive des RMS stellen eine Nichterreichung von kritischen Erfolgsfaktoren oder die Verfehlung von Potenzialzielen oftmals wesentliche Risiken dar. 21 3.2. Risikomanagementprozess Der Risikomanagementprozess ist als Teil des unternehmensweiten Prozessmodells ein Managementprozess. Dieser hat die generelle Aufgabe, eine systematische, zielorientierte Steuerung der Wertschöpfung und Unterstützungsprozesse zu ermöglichen. Der Risikoprozess ist damit grundlegender Bestandteil von Führungsaufgaben auf allen Ebenen. Die Durchführung kann an andere Mitarbeiter im Unternehmen übertragen werden. Die Verantwortung für eine erfolgreiche Ausführung bleibt jedoch bei der obersten Unternehmensleitung bestehen. Wesentliche Prozessschritte im Risikomanagementprozess sind: Abbildung 7: Risikomanagement-Prozess – Gesamtübersicht Die prozessorientierte Darstellung des RM-Prozesses ist in vielen Literaturquellen gängige Praxis, eine tatsächliche prozessorientierte Beschreibung und Steuerung erfolgt hingegen eher selten. Bei den nachfolgenden Ausführungen zum Aufbau und zur permanenten Durchführung wird die prozessorientierte Sichtweise auf den RM-Prozess explizit herausgestellt. Wie in anderen Geschäftsprozessen auch, ist die Umsetzung des RM-Prozesses in vielen Unternehmen nur unzureichend erfolgt. Abbildung 6: Risikomanagement-Prozess als Managementprozess 22 Der Prozess ist oft zwar generell beschrieben, wird aber nicht konsequent gelebt (z.B. Prozessauslöser nicht definiert). Im Zweifel tendieren Mitarbeiter im täglichen Geschäft dazu, das RMS als überflüssigen Ballast zu betrachten, statt den klaren Nutzen in den eigenen Prozessen wahrzunehmen. Durch den prozessorientierten Ansatz kann die Wirksamkeitsquote von RMS deutlich gesteigert werden. Die einzelnen Prozessschritte werden methodisch und inhaltlich nachfolgend vorgestellt. 23 Prozessschritt „Grundlagen festlegen“: 24 • Unternehmensumfeld aus dem Strategieprozess klären Dieser Managementprozess ist eine wesentliche inhaltliche Schnittstelle zum RM-Prozess mit Bezug auf strategische und marktbezogene Risiken. Die Nichtberücksichtigung dieser Risiken führen zum inhaltlichen Substanzverlust des RMS. • Nutzenpotenzial des Risikomanagements erarbeiten Ansatzpunkte sind insbesondere in der höheren Informationstransparenz für konkrete strategische Entscheidungen zu sehen. Konkret ist der Bezug zwischen Entscheidungen, strategischen Aktivitäten und Risiken ganzheitlich herstellbar. Auf Sacharbeitsebene ist durch einen systematischen Einbezug von Risiken im täglichen Geschäft gleichfalls eine hohe Akzeptanz zu erreichen. Mitarbeiter haben dann eine ausgeprägte Verantwortung für neue Risiken bzw. bereits aufgenommene und bewertete Risiken. • Beschreibung der Risikostrategie Die Risikostrategie sollte nach einzelnen strategischen Geschäftseinheiten (SGE) differenziert ausgestaltet werden. In neuen Geschäftsfeldern werden andere Zielsetzungen und damit auch unterschiedliche Risikostrategien verfolgt. Auf Gesamtunternehmensebene und insbesondere in Unternehmen mit Konzernstrukturen erfolgt oftmals ein Risikoausgleich verschiedener SGE’s. Die Risikostrategie sollte in einem klar formulierten Dokument allen wesentlichen Führungs- und Fachkräften zur Verfügung gestellt werden. • Festlegung des Risikoprozesses Der Prozess des Risikomanagements ist als Regelkreis angelegt. Die grundlegenden Phasen der Risikoidentifikation, der qualitativen und quantitativen Bewertung, der Steuerung durch Risikoaktivitäten sowie der permanenten Verbesserung sind traditionelle Prozessschritte von Steuerungssystemen. Im Kontext einer prozessorientierten Vorgehensweise sind die semantischen Anforderungen des unternehmensweiten Prozessmodells zugrunde zu legen. Diese werden durch das Prozessmanagement beschrieben. Für den RM-Prozess müssen auch Schnittstellen zu anderen Prozessen systematisch ermittelt und mit Steuerungsinformationen versehen werden. Als Beispiel kann der Planungsprozess genannt werden, der dem RM-Prozess in der Regel inhaltliche Rahmenvorgaben an die Höhe von Risikorelevanz sowie Zielerreichungsvorgaben zuliefert. • Festlegung der Risikokategorien Die Festlegung der Risikokategorien erfolgt überwiegend in Abhängigkeit der bearbeiteten Geschäftsfelder. Für viele Unternehmen sind die Hauptkategorien auf der obersten Ebene identisch, Unterschiede bestehen hier auf der dritten Ebene oder in konkre- ten Begrifflichkeiten. 1.Ebene 2.Ebene Zukunftssicherung Strategie Governance Käufe/Verkäufe Unternehmenskultur Kommunikation Umfeld Führungsgrundsätze Ethik 3.Ebene Zieldefinition und langristige Aufgabe Transparenz der Annahmen Planung und Entwicklung (Prozess) Implementierung Kontrolle und Kommunikation Aufgabenverteilung Organe Grundsätze der Unternehmensführung Überwachung Ziele/Unternehmen Haftung Due Diligences Intergrations-/Desintergrationskonzept Intern Public Relations Länder/Regionen Marktdynamik Konzept Führungsverhalten u. Personalmanagement Gesellschaftliche Verantwortung Reputation, Image ID 1.1.1. 1.1.2. 1.1.3. 1.1.4. 1.1.5. 1.2.1. 1.2.2. 1.2.3. 1.2.4. 1.3.1. 1.3.2. 2.1.1. 2.1.2. 2.2.1. 2.2.2. 2.3.1. 2.3.2. 2.4.1. 2.4.2. Abbildung 8: Management- und Risikokategorien (Bsp. Ausschnitt) 25 • Festlegung der Risikobereitschaft Angefangen von einer sehr hohen Risikoneigung bis hin zur Risikoaversion kann die Bereitschaft sehr stark schwanken.8 • Bestimmung von Begriffen und einer einheitlichen Verständnisgrundlage. • Integration in Organisationsstruktur und rechtliche Unternehmenseinheiten Die Verantwortung für das RMS und die notwendigen Rollen im RM-Prozess müssen im Unternehmen klar zugeordnet werden. Die Gesamtverantwortung für ein funktionsfähiges RMS ver- bleibt immer bei der Unternehmensleitung. In KMU werden die verschiedenen Rollen oftmals auch nur durch einen Controller oder einen zentralen Assistenten ausgeübt. • Integration in andere Steuerungssysteme (insbesondere IKS).9 • Integration mit Controlling Dazu gehören die Abstimmung bezüglich aller zukunftsorientierten Informationen und Kennzahlen bei der Risikosteuerung sowie der Einbezug von Risikoauswirkungen auf die Finanzsituation und -planung. • Klärung gesetzlicher oder sonstiger rechtlicher Anforderungen (z.B. Einsatz von Frameworks, COSO II im Rahmen von Sarbanes-Oxley).10 • 8 9 26 Die Identifikation beinhaltet die stetige Anstrengung, mögliche Risiken über alle Kategorien systematisch zu finden. Dafür können unterschiedliche Methoden und Instrumente zum Einsatz kommen. Beispiele für strategische Instrumente sind die SWOT-Analyse zur Identifizierung von strategischen, kunden- und marktbezogenen Risiken sowie die Potenzialanalyse als Analyse der gegenwärtig verfügbaren Ressourcen und deren Einsatzmöglichkeiten bei strategischen Entscheidungen (z.B. Know-how in neuen Technologien für die Entwicklung neuer Produkte und Dienstleistungen). Durch diese Methode werden systematisch auch Potenziale ermittelt, die bei der Erstellung einer Chancen-/Risikomatrix hinzugezogen werden können (siehe Prozessschritt „Risiken bewerten“). Als operative Methoden können Studien erstellt werden, Workshops zur Abdeckung aller Kernprozesse des Prozessmodells durchgeführt oder Datenanalysen bei risikoinduzierenden Informationen (z.B. Reklamationsanalysen) erstellt werden. Inhaltlich stehen dafür die Risikokategorien und das Prozessmodell als Handlungsrahmen für eine systematische Risikoidentifikation zur Verfügung. Mindestinformationen zur Beschreibung eines Risikos sollten systematisch erhoben und im Anschluss im Risikoinventar zusammengefasst werden. Einsatz von IT-Lösungen für Risikomanagement Abbildung des ganzen Risikomanagementprozesses sowie der Nutzungsfunktionalitäten für ein wirksames Aktivitätencontrolling und zur dynamischen Kennzahlüberwachung. Dabei sollten alle wesentlichen RM-Informationen in einem Cockpit konsolidiert und die Historie der Risikoentwicklung jederzeit rekonstruierbar sein. Siehe hierzu auch Kapitel 3.1 (Grundlegende Bestandteile eines RMS) Siehe hierzu auch Kapitel 2.1. (Allgemeine Anforderungen) 10 Prozessschritt „Risiken identifizieren“ Abbildung 9: Risikoinventar (Beispiel) Siehe hierzu auch Kapitel 2.1. (Allgemeine Anforderungen) 27 Prozessschritt „Risiken bewerten“ Im nächsten Prozessschritt erfolgt die Ermittlung der Wichtigkeit im Sinne einer eindeutigen Risikopriorisierung mit dem Ziel, wesentliche Risiken vorrangig steuern zu können. Für die Bewertung werden in der Regel die folgenden Informationen notwendig: 28 • Eintrittswahrscheinlichkeit (EW) Diese liegt immer zwischen 0% (Risiko wird nicht eintreten) und 100% (Risiko ist eingetreten) unter Angabe eines Zeitraums (Regelfall: 12 Monate). • Schadenshöhe (SH) Mögliche Schadenshöhen sind mit einem nachvollziehbaren Schadensszenario zu hinterlegen (z.B. entgangener Umsatz aus Terminrisiken mit 5% EW und SH von 800T €). • Schadenserwartungswert (SEW) Die Multiplikation von EW und SH ergibt den SEW. Risiken mit einer geringen EW können bei Eintritt aber durchaus gravierende Folgen für die Zielerreichung haben. Für die Einstufung des SEW ist eine Relevanzskala mit festen Werten zu definieren, die die Wesentlichkeit von Risiken bestimmt. • Wechselwirkungen mit anderen Risiken Für die Analyse der gesamten Risikosituation eines Unternehmens ist im Mindestumfang eine qualitative Analyse für Wechselwirkungen anzuraten. Dabei können sowohl verstärkende, neutrale oder auch kompensierende Wirkungen zwischen zwei Risiken vorkommen. Legende: EW (Eintrittswahrscheinlichkeit), SH (Schadenshöhe), SEW (Schadenserwartungswert) Abbildung 10: Risiken bewerten Bei der Risikobewertung können gleichfalls auch qualitative Bewertungen, unterstützt durch Scoring-Verfahren, zum Einsatz kommen. Als Skalen können dabei verwendet werden: • • • EW – sehr niedrig, niedrig, mittel, hoch, sehr hoch. SH – sehr gering, gering, mittel, hoch, sehr hoch. Relevanzermittlung – Einsatz von Scoring-Verfahren für die Ausprägungen von EW und SH. Die Gesamtrisikosituation nach Bewertung sollte gründlich analysiert werden hinsichtlich Risikoschwerpunkten oder -konzentration und einzelnen Schlüsselrisiken. 29 Abbildung 11: Risikobewertung - Gesamtübersicht Die in der Praxis oftmals angewandte Darstellung der bewerteten Risiken in einer Risikomatrix kann bei einer ganzheitlichen Analyse der bestehenden Potenziale i.S. von Chancen in einer zweiseitigen Chancen-/Risikomatrix integriert werden. Dabei kann die Gesamtanalyse des Geschäftsmodells schnell Aufschlüsse bezüglich der Ausgewogenheit von Chancen und Risiken bringen. Die kumulierten Top-Chancen sollten dabei grundsätzlich eine höhere geplante Wirkung erzielen als die zusammengefassten Schlüsselrisiken. Bei einer professionellen Bearbeitung kann diese Matrix als Entscheidungsgrundlage für wesentliche strategische Entscheidungen verwendet werden. 30 Abbildung 12: Chancen-/Risikomatrix Die qualitative Analyse von Wechselwirkungen zwischen Risiken zeigt als Ergebnis Risiken auf, die in der Gesamtwirkung die größten Schadensauswirkungen haben können. Dabei können sowohl die reine Anzahl als auch die bestehenden quantitativen Schadenserwartungswerte von verursachenden Risiken addiert werden. 31 Aber auch durch Vertragsgestaltung oder Aufgabenverlagerung (z.B. an benachbarte Unternehmen der Lieferkette) kann eine Risikoübertragung erfolgen. Legende von -1 (Inverse Auswirkung) bis 1 (volle Korrelation); 0 (Keine Auswirkung bei Eintritt Risiko 1 andere Risiken) Abbildung 13: Risikoanalyse - Wechselwirkungen Prozessschritt „Handlungsstrategie festlegen“ Die Unternehmensleitung hat nach Festlegung der wesentlichen Risiken und Chancen nunmehr die Aufgabe, diese gezielt strategisch anzugehen. Dazu stehen folgende generelle Handlungsoptionen zur Verfügung: 32 • Risiko vermeiden Steht als Option insbesondere in Entscheidungssituationen zur Verfügung. Durch Unterlassung (z.B. Entwicklung eines Produktes mit hohem Entwicklungsrisiko) kann das Risiko von Beginn an vermieden werden. • Risiko übertragen Für bereits erkannte und bewertete Risiken kann ein Risikotransfer erfolgen. Etabliert ist dafür die Abdeckung der Risikowirkung mit Versicherungsschutz gegen Zahlung einer Risikoprämie, deren Höhe im Wesentlichen die Risikorelevanz zum Ausdruck bringt. • Risiko überwachen Bei als unwesentlich bewerteten Risiken kann durch eine reduzierte Steuerung ohne direkte Aktivitäten nur die Entwicklung des Risikos regelmäßig überwacht werden. • Risiko akzeptieren Stellt eine Handlungsvariante der Risikoüberwachung dar, schließt aber grundsätzlich alle Risiken, also auch wesentliche Risiken, ein. • Relevanz reduzieren Durch gezielte Aktivitäten wird der SEW gezielt reduziert, ent weder beim SH-Wert oder der EW. Prozessschritt „Aktivitäten planen“ Nach Zuordnung der Handlungsstrategien zu den Risiken beinhaltet der nächste Prozessschritt die Planung und Organisation aller Aktivitäten zur eigentlichen Risikosteuerung. Im Kern gehören dazu die Bestimmung der Risikoverantwortung, der detaillierten Planung einzelner Aktivitäten im Controlling-Verständnis sowie Status-Informationen. Verantwortlich für die Planung ist der Risikoverantwortliche. Abbildung 14: Prozessschritt - Aktivitäten planen 33 Prozessschritt „Steuerung organisieren“ Prozessschritt „Aktivitäten durchführen“ Bei der Zusammenfassung von Aktivitäten der wesentlichen Risiken ergeben sich häufig Synergieeffekte durch Überschneidungen der Abdeckung von Risiken oder in der geplanten Wirkung. Von Bedeutung ist weiterhin die Aufnahme der Aktivitäten in die Planung und die Programme (z.B. Personalentwicklungsprogramme). Für alle Aktivitäten sind durch die Risikoverantwortlichen einzelne Durchführungsverantwortliche zu bestimmen. Für die Steuerung aller wesentlichen Risiken fallen oftmals gleichzeitig viele Aktivitäten über das ganze Unternehmen an. Die inhaltlichen Abläufe aller Aktivitäten sind aufgrund der großen Anzahl strategischer Handlungsmöglichkeiten situativ festzulegen. Bei Projekten ist in der Regel ein Projektplan und bei der Optimierung von Versicherungsabdeckungen ein Zeitplan der Vorgehensweise zu erstellen. Den Risikoverantwortlichen obliegt hierbei auch die Verantwortung für die Durchführung. In diesem Zusammenhang sollte die Verfügbarkeit geklärt werden, da in der Regel oft dieselben Mitarbeiter für Verbesserungsaktivitäten hinzugezogen werden und dadurch Engpässe bestehen. Controller sollten die Steuerungsorganisation im Rahmen der Führungsbegleitung unterstützen. Weiterer wichtiger Bestandteil ist die Auswahl von Kennzahlen zur Risikosteuerung. Dabei sind insbesondere folgende Aspekte zu berücksichtigen: • Auswahl von Kennzahlen mit Frühwarneigenschaft, die rechtzeitig den Eintritt eines Risikos signalisieren. • Analyse von historischen Wertebereichen der Kennzahlen. Prozessschritt „Wirksamkeit überwachen“ Wesentliches Ziel eines RMS ist die Verbesserung der Risikogesamtsituation. Damit wird im Detail der Risikosteuerung auch eine Überwachung der Wirksamkeit der getroffenen Maßnahmen erforderlich. Konkret kann dies an einem sinkenden Schadenserwartungswert festgemacht werden. Dies bedeutet, dass dem SEW zugrunde gelegte Schadenszenario wird durch einzelne Aktivitäten positiv verändert. Neben der Überwachung des rechtzeitigen Starts geplanter Aktivitäten ist somit eine fortlaufende Fortschrittskontrolle durch die Risikoverantwortlichen durchzuführen. • Festlegung von kritischen Kennzahlbereichen („gelbe“ und „rote“ Ampelphasen), die den Risikoeintritt anzeigen. • Regelmäßige Erhebung der Kennzahlen sicherstellen. • Integration der Kennzahlen in das bestehende Reporting vornehmen. Abbildung 15: Prozessschritt Wirksamkeit überwachen • Unternehmenseinheiten bestimmen. • Zentrale und dezentrale RMS-Zuständigkeiten festlegen. 34 35 Als Zusatzinformation kann auch eine Trendwirkung insbesondere für die wesentlichen Risiken ermittelt werden, die allerdings durch konkrete Kennzahlwerte begründbar sein sollten. Grundlegend ist ein umfassendes Risikoreporting notwendig, damit bei der Überwachung keine Lücken entstehen. Die oberste Unternehmensführung muss damit regelmäßig (Standard: 3 Monate) Risikoreports erhalten und die Veränderung der Risikogesamtsituation bewerten. Das Controlling hat die Aufgabe, alle Risikoinformationen zu bündeln und dem Entscheidungsorgan zugänglich zu machen. Die Interne Revision kann in diesem Kontext Überprüfungen der Steuerungseffizienz des RMS an sich durchführen und Verbesserungspotenziale ermitteln. In KMU besteht oftmals keine Interne Revision, sodass die Kontrollfunktion in der Regel bei der Jahresabschlusserstellung rudimentär durch den externen Prüfer begleitet wird. Abbildung 16: Risikoreporting organisieren 36 In diesem Umfeld ist auch der Einsatz von professionellen ITSystemen zur Risikosteuerung und für die Abbildung der Risikomanagementprozesse sinnvoll. Da die Transparenz von großen Informationsmengen und die Risikosituation im RMS auch historisch jederzeit nachvollziehbar sein müssen, ist eine Investition in RMS-Cockpits von hohem Nutzen. Insbesondere Status- und Frühwarninformationen der wesentlichen Risiken sowie die Risikoverantwortlichen mit Drill-Down-Funktionalität sind der Unternehmensleitung verfügbar zu machen. Bei kleineren Unternehmen ist als Einstieg auch der Einsatz von ExcelReports im Rahmen des bestehenden Reportings eine Alternative. Abbildung 17: RMS-Cockpit für die Unternehmensleitung 37 Prozessschritt „Prozessverbesserung durchführen“ Der RM-Prozess ist nach erstmaliger Modellierung und Durchführung immer Gegenstand von Verbesserungsmaßnahmen. Dabei können sowohl Zuständigkeiten, Aktivitäten oder auch das Reporting optimiert werden. Die Verantwortlichkeit für die Prozessoptimierung muss klar festgelegt sein. Prozessschritt „Strategiewirksamkeit prüfen“ Für einen geschlossenen Steuerungskreislauf des RMS sind systematisch Informationen bezüglich der Wirksamkeit der gewählten Unternehmensstrategie an den Strategieprozess bereitzustellen. Dabei sind folgende Prozessaufgaben zu beachten: • Wesentliche Verschlechterungen der Gesamtrisikosituation zeigen strategischen Handlungsbedarf auf. • Neue wesentliche Risiken können Teilbereiche der Strategie in Frage stellen. • Schnittstelle zwischen Strategie-Prozess und RM-Prozess ist zu definieren (welche Informationen sind wann und von wem bereitzustellen). 3.3. Allgemeine Steuerungsinformationen zum Prozess Risikomanagement Die methodische Darstellung des RMS als Prozess erfordert für eine effektive Steuerung auch den Rückgriff auf bestimmende Prozesssteuerungsinformationen, die im Regelfall hierfür gefordert sind. Diese gelten prinzipiell für alle Prozesse des Prozessmodells und sind mit dem RM-Prozess konzeptionell in allen Prozessen sicherzustellen. 38 • Prozessauslöser bestimmen Auslöser für die Durchführung des RM-Prozesses ist im Regelfall die Festlegung eines kalenderbezogenen Zeitraums. Im unternehmerischen Alltag kann der Risikomanagementprozess mit dem Planungsprozess hinsichtlich Ziel-, Aktivitäten- und Budgetplanung gekoppelt werden. Empfehlenswert ist die rollierende Planung mit einem 12-Monatsfokus. Weitere Auslöser können auch vorab definierte Ereignisse darstellen. Beispiele hierfür sind marktbezogene Maßnahmen von Konkurrenten, z.B. deutliche Preisveränderungen, Produktankündigungen oder spürbare Veränderungen der kundenspezifischen Leistungserwartungen (z.B. signifikant verkürzte Liefertermine). • Prozessinput festlegen Dazu gehören neben der systematischen Ermittlung von risikorelevanten Informationen (s. Abb. 8/9) auch die Bestimmung von Kapazitäten und Kompetenzen zur Bearbeitung. • Prozessleistung messen und steuern Die Steuerung von Prozessen beinhaltet als Minimalanforderung die Festlegung der drei wesentlichen Faktoren Zeit (Durchlauf-/ Bearbeitungszeit), Kosten und Qualität des RM-Prozesses. Für die Prozesssteuerung sind eindeutige Eskalationsregeln festzulegen, ab welchem Ereignis weitergehende Risikoaktivitäten auszulösen sind (z.B. Überschreiten eines Limits bei einer Risikokennzahl) oder wann die Unternehmensführung zu informieren ist (z.B. Neubewertung Risiko mit Relevanz Bestandsgefährdung bedeutet sofortige Information der Unternehmensleitung). • Prozessoutput Beschreibt den Schadenserwartungswert am Ende des RM- Prozesses und damit die beabsichtigte Veränderung in den festgelegten Zeitabschnitten (Kalenderjahr oder Ereignisorientierung). Hier kann insbesondere die Wirksamkeitskontrolle erfolgen, inwieweit die geplante Veränderung des SEW durch die Risikostrategie und die Aktivitäten auch erzielt wurden. 39 40 • Prozessrollen bestimmen Auszufüllende Rollen im RM-Prozess sind in der Regel der CRO (Chief Risk Officer), der Risikoverantwortliche, der Risikocontroller, der Risikocoach, der Risikomitarbeiter und der Risikoauditor. Dabei kommt insbesondere dem Risikocontroller sowohl inhaltlich als auch methodisch eine wesentliche Koordinationsfunktion zu. Für alle Rollen sind Verantwortlichkeiten und Aufgaben konkret zu beschreiben. • Transparenzverantwortung Dies beinhaltet die systematische Information aller beteiligten Führungs- und Fachmitarbeiter, die Verfügbarkeit einer einheitlichen und historisch nachvollziehbaren Dokumentation aller Risikoinformationen sowie deren zukünftige Verfügbarkeit. • Risikoreporting einschließlich Ad-hoc-Reporting Der Risikocontroller bewirkt eine redundanzfreie Integration von Risikoinformationen in bestehende Standardreports (z.B. Vertriebsreport), die Aktualität der Inhalte, eine Konzentration auf wesentliche Risiken und die rechtzeitige Kommunikation von maßgeblichen Veränderungen. Ein „Risikoreport“ stellt dann in diesem Verständnis den Extrakt aus bestehenden Standardreports hin zu einer themenspezifischen Sicht dar. Diese muss für bestimmte Empfängergruppen zur Verfügung stehen (z.B. Vorstand für Quartalsreport). • Prozesscontrollinginformationen Für eine effiziente Steuerung des RM-Prozesses ist ein Controlling i.S. von Planung, Durchführung, Kontrolle und anschließender Verbesserung für Prozessvariablen notwendig. Dazu gehören u.a. Prozessmengen (Anzahl der Durchführung von einzelnen Prozessschritten), die Bestimmung der notwendigen Kapazitäten sowie eine Überprüfung der Zufriedenheit mit dem erzielten Prozessoutput. Hierbei könnte z.B. die Zufriedenheit von externen Interessenten mit der Risikoberichterstattung im Lagebericht ausgewertet werden. 3.4. Risikocontrolling und Aufgaben des Controlling • Permanentes Risikocontrolling Durch eine Soll-Ist-Betrachtung an den dynamischen Steuerungskriterien wesentlicher Risiken ausgerichtet (z.B. Veränderung des SEW), besteht hier die Aufgabe, steuerungsrelevante RM-Informationen systematisch erheben zu können. Die Durchführung der Prozessrolle Risikocontroller kann sowohl einer separaten zentralen Stabsstelle als auch dem Controlling zugeordnet werden. Ungeachtet der Zuständigkeit sind die nachfolgenden Aufgaben mit dieser Rolle verbunden: • Aufgaben und Mitwirkung des Controlling Hier wird eine Koordination zwischen Controlling und anderen mit Rollen im RMS verantwortlichen Unternehmensbereichen (z.B. Interne Revision) erforderlich. • In KMUs ist die Durchführung im Rahmen des bestehenden Controllings anzuraten. Integration mit Unternehmensplanung Die in der Planung aufgenommenen Zahlenwerte drücken in der Regel Erwartungswerte aus. Insofern sind RM-Informationen Abweichungsmitteilungen, die die Schwankungsbreite der Planung aufzeigen. Hierbei sollte eine enge Abstimmung zwischen den Plan-Ergebnissen des Planungsprozesses sowie dem zuständigen Risikocontroller erfolgen. 41 4. Empfehlungen und Einführung 5. Trends und zukünftige Entwicklungen Empfehlungen für das RMS sollten vorab mit der obersten Unternehmensführung als Hypothese formuliert und nach Einführung durch die operative Abwicklung des RM-Prozesses bestätigt werden. Die Bedeutung eines wirksamen RMS wird zukünftig weiter zunehmen. Diese Feststellung kann insbesondere an folgenden Aussagen verankert werden: Checkpunkte für eine erfolgreiche Einführung eines RMS in Unternehmen sind: • Projektplan für Einführung erstellen. • RM-Inhalte der erstmaligen Prozessdurchführung kommunizieren. • Alle Mitarbeiter für Prozessrollen methodisch als auch inhaltlich trainieren. • Mitarbeiter mit zukunftsbezogenem Arbeitsumfeld informieren und sensibilisieren hinsichtlich der Risikosituation und der wesentlichen Risiken. • Verantwortlichkeiten für Risiken und Risikoaktivitäten durch gängig bestimmen. • Erkannte erste Verbesserungspotenziale zügig umsetzen. • Umsetzung von Risikoaktivitäten eng monitoren. • Wirkungskontrolle der Risikoaktivitäten regelmäßig durchführen. • Risikoreporting im Alltag einfordern. • RMS mit der Unternehmensplanung sinnvoll verbinden. • RMS ist hinsichtlich der Steuerungsanforderungen mit anderen Systemen im Unternehmen integriert und vermeidet dadurch redundante Tätigkeiten für die Fach- und Führungsmitarbeiter. • Weitestgehende Automatisierung des Risikoreport mit IT Unterstützung oder mindestens Risikoreporting bei kleineren Unternehmen auf Excel-Basis. • Bei großen Unternehmen mit Pilotbereich beginnen – nach erfolgreicher Etablierung sukzessive weitere Einführung in den anderen Bereichen. 42 • Anforderungen der Stakeholder steigen Kapitalgeber möchten zeitnah über die voraussichtliche Unternehmensentwicklung informiert werden. Grund hierfür ist die Zunahme des wirtschaftlichen Ergebnisdrucks. Fremdkapitalgeber wollen eigene Kreditausfallrisiken im Ganzen als auch auf den Einzelfall bezogen reduzieren. Dazu gehört insbesondere die Umsetzung der Anforderungen aus Basel II, die risikoarme Kunden mit einem positiven Rating und damit niedrigeren Eigen- kapitalanforderungen an das Kreditinstitut belohnt. Eigenkapitalgeber möchten eine stetige Verzinsung des eingesetzten Kapitals und entsprechend aussagekräftige Informationen zur Risikosituation bezüglich der Kapitaldisposition. Das RMS wird somit zum strategischen Steuerungssystem, mit dem relevante Informationen systematisch ermittelt werden und unternehmerisch im Zentrum des Entscheidungsverhaltens stehen. Im Rahmen von Investor Relations kommt dem RMS hinsichtlich der gezielten Kommunikation mit den Kapital märkten gleichfalls eine steigende Bedeutung zu. • Zunehmende Marktveränderungen Hier kann eine Vielzahl von Trends genannt werden, die die Risikogesamtsituation von Unternehmen zukünftig beeinflussen werden. Dazu gehören insbesondere auch die Veränderung der Kundenanforderungen an das Unternehmen und die abnehmende Kundenloyalität. Für Unternehmenskunden nimmt die Beschaffung über Einkaufsplattformen mit dem einhergehenden Risiko deutlich zu, sodass auf die Entscheidungssituation von Einkäufen nur noch wenig Einfluss genommen werden kann. • Branchenveränderungen Bedingt durch Konzentrationsprozesse und den globalen Wettbewerb können ganze Branchensegmente zukünftig nur mit einer klaren strategischen Positionierung und einer heraus43 gearbeiteten Risikogesamtsituation überblickt und beherrscht werden. Die Fokussierung auf Kernkompetenzen im Sinne nur eines Geschäftsfeldes ist bei zyklischen Schwankungen sehr ausgeprägt und damit häufig nachhaltig bezüglich eines Risiko ausgleiches zu hinterfragen. • Abnehmende Produkt-/Leistungszyklen Durch kürzere Produktzyklen – von der Entwicklung bis zur Einstellung der Vermarktung und Produktbetreuung – steigt das unternehmerische Risiko an. Die Zeitspanne zur Refinanzierung von getätigten Investitionen schrumpft und führt damit zu einer Risikozunahme. In vielen Unternehmen besteht daher die Notwendigkeit, Prozesszeiten der Produktentwicklung deutlich zu verkürzen. Dies geht einher mit Qualitätsrisiken bei der Markteinführung (z.B. Beta-Versionseffekte oder kostspielige und Image schädigende Produktrückrufaktionen). Das RMS sollte die dabei bestehenden Risiken transparent machen und negative Folgen durch gezielte Risikoaktivitäten einschränken bzw. vermeiden helfen. • Steigende formelle Anforderungen Die Auflagen an eine ordnungsmäßige Unternehmensführung und damit auch der Existenz eines professionellen RMS nehmen zu. Es ist zu erwarten, dass durch weitere Schadensfälle der externe Druck auf Unternehmen in Form von gesetzlichen Auflagen oder auch „freiwilliger“ Verpflichtung (z.B. Corporate Governance) zunehmen wird. Der Aufbau und die permanente Weiterentwicklung eines wirksamen RMS werden damit zur Kernaufgabe von Unternehmen und den verantwortlichen Führungskräften. Der Anfang ist in vielen Unternehmen bereits gemacht. Auf dem Weg hin zu einer vollständigen Integration in die gesamte Steuerung, dem Einbezug in alle strategischen Entscheidungen und deren nachfolgender Umsetzung, dem Aufbau einer unternehmensweiten Risikokultur und letztendlich einer tatsächlichen prozessorientierten Handhabung sind die Herausforderungen in Zukunft festzumachen. 44 Abbildungsverzeichnis Abbildung 1 – Risikobegriff und Verständnis Abbildung 2 – Zielsetzungen RMS 7 10 Abbildung 3 – Balanced Scorecard und Risikomanagement 13 Abbildung 4 – COSO II – Enterprise Risk Management Framework 14 Abbildung 5 – Relevanzsystematik 20 Abbildung 6 – Risikomanagement-Prozess als Managementprozess 22 Abbildung 7 – Risikomanagement-Prozess-Gesamtübersicht 23 Abbildung 8 – Management- und Risikokategorien (Bsp. Ausschnitt) 25 Abbildung 9 – Risikoinventar (Beispiel) 27 Abbildung 10– Risiken bewerten 29 Abbildung 11– Risikobewertung – Gesamtübersicht 30 Abbildung 12– Chancen-/Risikomatrix 31 Abbildung 13– Risikoanalyse – Wechselwirkungen 32 Abbildung 14– Prozessschritt – Aktivitäten planen 33 Abbildung 15– Prozessschritt – Wirksamkeit überwachen 35 Abbildung 16– Risikoreporting organisieren 36 Abbildung 17– RMS-Cockpit für die Unternehmensleitung 37 45 ICV-Statements – Medienrechtliches Urheberschutz Alle Inhalte sind urheberrechtlich geschützt. Eine über die engen Grenzen des Urheberrechts, insbesondere des Zitierrechts, hinausgehende Nutzung und Verwertung ist nur mit schriftlicher Genehmigung des Internationalen Controller Verein eV zulässig. Haftungshinweis Die Autoren haben höchste Sorgfalt bei der Erstellung des Manuskriptes angewandt. Dennoch übernehmen sie keinerlei Verantwortung oder Haftung für Richtigkeit und Vollständigkeit, eventuelle Fehler oder Versäumnisse. Die Inhalte und Materialien werden unter Ausschluss jeglicher Gewährleistung zur Verfügung gestellt. Die Anwendung bzw. Nutzung der in den Statements dargestellten Erkenntnisse bzw. der Empfehlungen der Autoren erfolgt auf Gefahr des Lesers. Sämtliche verwendete Handelsmarken oder Markenzeichen sind Eigentum der jeweiligen Rechtsinhaber. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seiten sind ausschließlich deren Betreiber verantwortlich. Das vorliegende Statement vermittelt einen theoretisch fundierten, aus der Beratungspraxis entwickelten Überblick zum modernen Risikomanagement. Dabei wählen Thilo Knuppertz und Frank Ahlrichs einen prozessorientierten Ansatz. Risikomanagement, wie es die Autoren darstellen, bedeutet der bewusste Umgang mit Risiken angesichts der zunehmenden Zahl von Risiken aufgrund des dynamischen und komplexen Wirtschaftsgeschehens. Dieses Statement beginnt mit einem kurzen Vorwort und klärt zunächst die Begrifflichkeiten und grundlegenden Zusammenhänge. Danach diskutieren die Autoren die allgemeinen Anforderungen, die sie in der ganzheitlichen Ausrichtung eines Risikomanagementsystems und in der praktisch wirksamen Integration in die bereits verfügbaren Steuerungssysteme sehen. Die Erfüllung gesetzlicher und formeller Anforderungen ist ein weiteres Kapitel dieses Statements. Die Darlegung der Systembestandteile eines Risikomanagementsystems nimmt in dieser Veröffentlichung breiten Raum ein. Die beiden Handlungsfelder für die Unternehmensleitung sind, wie sie das Autorenteam darlegt, die Beschreibung der grundlegenden Bestandteile eines Risikomanagementsystems sowie die Festlegung und Durchführung eines wirksamen Risikomanagement-Prozesses. Die detaillierte und anschauliche Darstellung des RisikomanagementProzesses ist besonders hervorzuheben. Die anschließenden Empfehlungen und Einführungshilfen runden das Werk ab und erhöhen den konkreten Praxisnutzen. Die folgende Diskussion der Trends und Entwicklungstendenzen unterstreicht die wachsende Bedeutung des Risikomanagements und sichert den Leserinnen und Lesern einen hohen Informations- und Orientierungswert. 46 47
© Copyright 2024 ExpyDoc